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1 . Le present rapport est le rapport d'examen preliminaire international, 6tabli par I'admmistration chargee de I'examen 
preliminaire international en vertu de I'article 35 et transmis au deposant conform£ment a Particle 36. 

2. Ce RAPPORT comprend 5 feuilles, y compris la presente feuille de couverture. 

3. Ce rapport est accompagne d'ANNEXES, qui comprennent : 

a. IS un total de (envoy4es au deposant et au Bureau international) 6 feuilles, d§finies comme suit : 

□ les feuilles de la description, des revindications ou des dessins qui ont ete modifies et qui servent de base 
au present rapport ou des feuilles contenant des rectifications autorisSes par la presente administration (voir 
la regie 70.1 6 et rinstruction administrative 607). 

□ des feuilles qui remplacent des feuilles precedentes, mais dont la presente administration considere qu'elles 
contiennent une modification qui va au-dela de rexpose de invention qui figure dans la demande 
Internationale telle qu'elle a §X6 deposed, comme il est indiqug au point 4 du cadre n° I et dans le cadre 
suppldmentaire. 

b. □ (envoy£es au Bureau international seufement) un total de (preclser le type et le nombre de supports) 

6lectronique(s)) , qui contiennent un listage de la ou des sequences ou un ou des tableaux y reiatifs, deposes 
sous forme dechiffrable par ordlnateur seulement, comme il est indiqu§ dans le cadre supplemental relatif au 
listage de la ou des sequences (voir rinstruction administrative 802). 



4. Le present rapport contient des indications et les pages correspondantes relatives aux points suivants : 

Basede Popinion 
Priority 

Absence de formulation d'opinion quant k la nouveaute, Pactivite inventive et la 
possibility duplication industrielle 

Absence d'unite de I'invention 

Declaration motivee selon rarticle 35(2) quant a la nouveautd, Pactivite inventive et la 
possibility d'application industrielle; citations et explications a. Pappui de cette declaration 

Certains documents cites 
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-ormulalre PCT/IPEA/409 (feuille detitre) flanvier 2004) 



RAPPORT PRELIMINAIRE INTERNATIONAL 
SUR LA BREVETABILITE 



Demande internationale n° 
PCT>FR 03/03309 



Case No. I Base du rapport 

1. En ce qui concerne la langue, le present rapport est 6tabli sur la base de la demande internationale dans la 
langue dans laquelle elle a ete deposee, sauf indication contraire donn6e sous ce point. 

□ Le present rapport est §tabli sur la base de traductions r6alis6es a partir de la langue d'origine dans la 
langue suivante ,qui est la langue d'une traduction remise aux fins de : 

□ la recherche internationale (selon les regies 12.3 et 23.1 ,b)) 

□ la publication de la demande internationale (selon la regie 12.4) 

□ I'examen prSliminaire international (selon la regie 55.2 ou 55.3) 

2. En ce qui concerne les elements* de la demande internationale, le present rapport est Stabli sur la base des 
6I§ments suivants (les feuilles de remplacement qui ont 6t6 remises d I'office r6cepteur en r6ponse & une 
invitation faite conform6ment a {'article 14 sont consid$r6es dans le present rapport comme "initialement 
deposees" et ne sont pas jointes en annexe au rapport.) ; 



Description, Pages 

1 -26 telles qu'initialement d€pos£es 

Revendications, No. 

1-41 regue(s) le 20.04.2004 avec lettre du 1 6.04.2004 

Desslns, Feuilles 

143-6/5 telles qu'initialement depos^es 

□ En ce qui concerne un listage de la ou des sequences ou un ou des tableaux y relatifs, voir le cadre 
supptementaire relatif au listage de la ou des sequences. 

3. □ Les modifications ont entram§ I'annulation : 

□ de la description, pages 

□ des revendications, nos 

□ des dessins, feuilles/fig. 

□ du listage de la ou des sequences (preciser) : 

□ d'un ou de tous les tableaux relatifs au listage de la ou des sequences (preciser) : 

4. □ Le present rapport a et6 Stabli abstraction faite (de certaines) des modifications, qui ont 6te considerSes 
comme allant au-dela de Texpos§ de ^invention tel qu'il a §t§ depos6, comme il est indiqu6 dans le cadre 
supplemental (r&gle 70.2.c)). 

□ de la description, pages 

□ des revendications, nos 

□ des dessins, feuillesyfig. . 

□ du listage de la ou des sequences (prSciser) : 

□ d'un ou de tous les tableaux relatifs au listage de la ou des sequences (pr6ciser) : 

* Si le cas visS au point 4 s 'applique, certaines ou toutes ces feuilles peuvent 
§tre revetues de la mention "remplacS" . 
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Cadre n° V Declaration motivee selon l?article 35.2) quant h la nouveaute, l?activite inventive et la 
possibility d?application industrielle; citations et explications a l?appui de cette declaration 

1. Declaration 

Nouveaut§ Oui: Revendications 1-41 

Non: Revendications 

Activite inventive Oui: Revendications 

Non: Revendications 1-41 
Possible duplication industrielle Oui: Revendications 1-41 

Non: Revendications 



2. Citations et explications (regie 70.7) : 
voir feuille separee 



Formulalre PCT71 PEA/409 (janvier 2004) 
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(FEUILLE SEPAREE) 



Demands intemationale n° 



PCT/FR 03/03309 



Concernant le point V 

Declaration motivee quant a la nouveaute. I'activite inventive et la possibility 
duplication industrielle: citations et explications a I'appul de cette declaration 



1 . II est fait reference au document suivant: 



D1 : US-A-6 092 1 04 (KELLY CHRISTOPHER T) 1 8 juillet 2000 (2000-07-1 8) 
D2: LASERVAULT UNIVERSAL SERVER ADDED FEATURES / BUG FIXES, [en 
ligne] 13 avril 1999 (1999-04-13) - 29 mars 2001 (2001-03-29), XP0021 82409 
Extrait de Plnternet: <URL:http://laservault.com/support/whatlvu s.html> [extrait 
le 2001-11-09] 

D3: EP-A-0 801 492 (MATSUSHITA ELECTRIC IND CO LTD) 15 octobre 1997 
(1997-10-15) 



2. D1 decrit un procede d'analyse de la securite d'un systeme d'information comprenant 
une phase de modelisation du systeme d'information et un phase de simulation d'attaque 
potentielles contre le systeme d'information, du type definit dans la revendication 1 de la 
pr6sente demande, voir D1 : Introduction on pages 320-321 et le passage k la page 331 . 

L'objet de la revendication 1 differe de Petat de la technique connu du document D1 en ce 
que la revendication precise que la modelisation est initialisee avec une valeur d'etat de 
composant de systeme consider§e "saine" et qui dans les cas d'attaque r6ussi Petat du 
composant passe a une valeur * non saine " 

Or, bien que le document D1 ne mentionne pas le critere de D sante " de l'6tat pour juger la 
reussite de I'attaque, il est evident qui la consideration de ce crifere ne comporte pas des 
differences importantes au fonctionnement du procede d'analyse de security decrit dans la 
demande vis a vis du proced§ d'analyse de securite decrit dans D1 . 
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II est aussl evident que dans la methodologie de moderation et simulation d'attaque 
decrite dans le document D1 , la modelisation de relations entre les composants devrait 
tenir compte des relations de propagation susceptibles de vehiculer des attaques, voir a ce 
propos aussi les passages de la section 2 et 3 a les pages 321 et 322 de D1 . 

D'autre c6te, la teneur de la revendication 1 ne specific pas quels pn§dicats ou actions 
sont compris dans les regies de comportement afin qu'une distinction soit possible lorsque 
on les compare avec les predicats ou les actions des regies de comportements adoptees 
dans la methodologie decrite dans D1 . 

Compte tenu des points ci-dessus combiner I'ensemble des caracteristiques exposees 
dans la revendication 1 releve d'une demarche technique normale pour la personne 
du metier. L'objet de la revendication 1 n'implique par consequent pas d'actiVite 
inventive (article 33(3) PCT). 

3. Les revendications dependantes 2-38 ne contiennent aucune caracteristique qui, en 
combinaison avec celles de Tune quelconque des revendications a laquelle elles se 
referent, definisse un objet qui satisfasse aux exigences du PCT en ce qui conceme 
I'activite inventive, par ce que elles sont considerees comme caracteristiques 
operationnelles evidentes pour un procede d'analyse de la securite d'un systeme 
d'information comme pour exemple le procede connue par D1 . 

4. Contrairement a ce qu'exige la regie 5.1 a) ii) PCT, la description n'indique pas I'etat 
de la technique anterieure pertinent expose dans le document D1 et ne cite pas ce 
document, comme aussi les documents D2 et D3. 
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REVENDICATIONS 

1. Procede d'analyse de la securite d'un systeme d'information 
comprenant : 

-una phase de moderation (1,2), comprenant d'une part la 
specification (1) de I'architecture du systeme d'information avec une 
5 representation graphique d'un ensemble de composants du systeme et des 
relations entre lesdits composants, chaque composant etant associe a au 
moins un etat initialise avec une valeur saine, les relations entre deux 
composants determines comprenant des relations de propagation susceptibles 
de vehiculer des attaques, et d'autre part la specification (2) d'un ensemble de 
10 regies de comportement, au plan du fonctionnement du systeme et au plan de 
la securite, associees aux composants du systeme, chaque regie de 
comportement comprenant un ou plusieurs predicatSAet/ou une ou plusieurs 
actions; et, * 

-une phase de simulation, comprenant la specification (3) et la 
15 simulation (4) d'attaques potentielles contre le systeme d'infomiation, une 
attaque reussie faisant passer un etat d'un composant a une valeur non saine. 

2. Precede selon la revendication 1, suivant lequel, un nom etant 
associe a chaque composant, un ou plusieurs adjectifs peuvent aussi etre 
associes audit composant, lesquels adjectifs permettent de designer ledit 

20 composant sans le nommer. 

3. Precede selon la revendication 1 ou la revendication 2, suivant 
lequel des §tats determines sont associ&s a chaque composant du systeme 
d'infomiation, chaque etat pouvant prendre une valeur saine et une ou 
plusieurs valeurs non saines. 

25 4. Procede selon la revendication 3, suivant lequel certains au moins 

desdits etats se rapportent respectivement a I'activite, a la confidentialite, a 
Pintegrite et/ou a la disponibilite du composant auquel its sont associes. 

5. Procede selon I'une quelconque des revendications precedentes, 
suivant lequel un nom pretendu peut etre associe a un composant determine 
30 quelconque, notamment dans le cas oCi ledit composant determine est 
usurpateur. 

. FEUILLE MODIREE 
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6. Precede selon Tune quelconque des revendications precedentes, 
suivant lequel un lien vers un autre composant peut etre associe a un 
composant determine quelconque, notamment dans le cas ou ledit composant 
determine est usurpe et ou ledit autre composant est usurpateur. 

5 7. Proced6 selon Tune quelconque des revendications precedentes, 

suivant lequel les relations de propagation sont des relations bidirectionnelles 
susceptibles de vehiculer des attaques dans les deux sens. 

8. Precede selon Tune quelconque des revendications precedentes, 
suivant lequel les relations entre deux composants determines quelconques, 

10 comprennent des relations de service permettant de designer un composant a 
partir d'un autre composant 

9. Precede selon Tune quelconque des revendications precedentes, 
suivant lequel les regies de comportement comprennent des regies de 
propagation d'attaques, ces regies §tant par exemple mises en oeuvre dans 

15 des composants qui sont des vecteurs d'attaques, et des regies d'absorption 
d'attaques, ces regies etant par exemple mise en oeuvre dans des composants 
qui sont la cible d'attaques. 

10. Procede selon I'une quelconque des revendications precedentes, 
suivant lequel les regies de comportement comprennent des regies binaires, 

20 par exemple des conditions logiques booleennes donnant une valeur de type 
oui / non, et/ou des regies fbnctionnelles, par exemple des conditions logiques 
impliquant une action de routage (pour une rdgle de propagation) ou de 
contagion (pour une regie d'absorption). 

11. Proced§ I'une quelconque des revendications precedentes, 
25 comprenant, a la fin de la phase de modelisation (figure 3), la construction (35) 

d'une table de routage local, permettant de dinger une attaque d'un composant 
de depart vers un composant d'arrivee. 

12. Procede selon la revendication 11, suivant lequel la table de 
routage local est generee de facon automatique suivant le principe du plus 

30 court chemin entre le composant de depart et le composant d'arrivee. 
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13. Procede selon I'une quelconque des revendications 3 a 12. suivant 
lequei I'etape de simulation des attaques comprend la mise a jour de I'etat d'un 
composant du systeme altera par une attaque reussie. 

14. Procede selon la revendication 13, suivant lequei la phase de 
5 simulation comprend en outre la constitution d'un fichier ou journal des 

attaques, contenant I'historique des changements de I'etat des composants 
consecutifs a. des attaques reussies, notamment pour permettre un traitement 
ulterieur par un utilisateur. 

. 15. Procede selon Tune quelconque des revendications precedentes. 
10 suivant lequei les attaques comprennent des attaques elementaires 
correspondant a des valeurs d'etats non saines. 

16. Procede selon I'une quelconque des revendications precedentes, 
suivant lequei les attaques comprennent en outre une attaque speciale 
d'usurpation. 

15 17. Procede selon Pune quelconque des revendications precedentes, 

suivant lequei une attaque est definie, notamment, par un type d'attaque, un 
type de protocole, et des elements de chemin d'attaque. 

18. Procede selon la revendication 17, suivant lequei les elements de 
chemin d'attaque comprennent un composant de depart, un composant 

20 d'arrivee, un composant cible, et le cas echeant un ou plusieurs composants 
intermediaires. 

19. Procede selon la revendication 17 ou la revendication 18. suivant 
lequei la liste des composants deja traverses par une attaque est sauvegardee 
dans au moins une ou plusieurs piles amont. 

25 20. Procede selon la revendication 19, suivant lequei les pile amont 

comprennent une pile (110) contenant la liste exhaustive de tous les 
composants traverses, designes par leurnom reel. 

21. Procede selon la revendication 19 ou la revendication 20, suivant 
lequei les piles amont comprennent une pile (120) contenant la liste des seuls 
30 composants traverses qui sont opaques, designes par leur nom reel ou, le cas 
echeant, par leur nom pretendu. 
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22. Procede selon Tune quelconque des revendications 17 a 21, 
suivant lequel la liste des composants destlnataires d'une attaque est 
sauvegardee dans au moins une pile aval (1 30). 

23. Precede selon I'une quelconque des revendications precedentes, 
suivant lequel les attaques sont definies dans un langage utilisant les memes 
mots qu'un langage dans lequel les regies de comportement sont definies. 

24. Precede selon I'une quelconque des revendications precedentes, 
suivant lequel la phase de moderation etrou la phase de simulation sont 
mises en oeuvre par un utilisateur au moyen d'une interface Homme/machine 
comportant une fonctionnalite multi vues, suivant laquelle une representation 
graphique du systeme est presentee a Putilisateuren plusieurs vues. 

25. Procede selon la revendication 24, suivant lequel chaque vue 
represente un sous-systeme du systeme, qui est relativement autonome et 
independant du reste du systeme. 

26. Procede selon la revendication 24 ou la revendication 25, suivant 
lequel la fonction d'interconnexion entre les composants compris dans deux 
vues distlnctes est assuree seulement via le composant commun ou les 
composants communs aux deux vues. 

27. Precede selon I'une quelconque des revendications 24 a 26, 
suivant lequel les regies de comportement des composants appartenant a une 
vue ne font pas appel nommement a des composants appartenant a une autre 
vue. 

28 Procede selon I'une quelconque des revendications 24 a 27. suivant 
lequel les vues sont associees a des sous-systemes respectifs, par exemple de 
meme niveau, qui sont interconnects entre eux via au moins un composant 
commun. 

29. Procede selon I'une quelconque des revendications 24 a 27, 
suivant lequel une vue superieure est associee au systeme dans son 
ensemble, tandis qu'une ou plusieurs vues inferieures sont respectivement 
associees a un sous-systeme determine du systeme. 
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30. Procede selon la revendication 29, suivant lequel un composant 
determine, commun a la vue superieure et a une vue inferieure determinee, 
represente le sous systems correspondant vu du systeme dans son ensemble, 
et reciproquement. 

31. Procede selon la revendication 30, suivant lequel ledit composant 
commun est I'unique interface entre les la vue superieure et ladite vue 
inferieure determinee. 

32. Procede selon I'une quelconque des revendications precedentes, 
suivant lequel la phase de modelisation comprend en outre la specification 
d'une ou plusieurs metriques de base respectivement associees aux 
composants. 

33. Procede selon la revendication 32, suivant lequel les metriques de 
base comprennent, une metrique d'efficacite des parades, une metrique 
d'efficacite de detection des attaques, et/ou une metrique des moyens d'un 
attaquant 

34. Procede selon Tune quelconque des revendications precedentes, 
suivant lequel la phase de simulation comprend en le calcul d'une ou plusieurs 
metriques de probabilite de sinistre. 

35. Procede selon la revendication 34, suivant lequel les metriques de 
probabilite de sinistre comprennent une metrique de probability de passage 
d'une attaque sur un composant. 

36. Proc6de selon les revendications 32 et 34, suivant lequel la 
metrique de probabilite de passage d'une attaque sur un composant est 
calculee suivant la fbrmule "probabilite de passage - (moyens de 
I'attaquant) / (efficacite de la protection)". 

37. Procede selon la revendication 34, suivant lequel les metriques de 
probabilite de sinistre comprennent une metrique de probabilite de non 
detection d'une attaque sur un composant. 

38. Procede selon les revendications 33 et 37, suivant lequel la 
metrique de probabilite de non detection d'une attaque sur un composant est 
calculee suivant la fbrmule "probabilite de non detection « (moyens de 
I'attaquant) / (efficacite de la detection)". 
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39. Dispositif pour la mise en oeuvre d'un precede selon Tune 
quelconque des revendications precedentes, comprenant une interface 
Homme / machine (15) pour la mise en oeuvre de la phase de moderation 
et/ou un moteur attaques / parades (16) pour la mise en oeuvre de la phase de 
simulation 

40. Dispositif selon la revendication 39, dans lequel ('interface 
Homme / machine presente une fonctionnalite d'affichage en multi vues du 
systeme modelise. 

41. Dispositif selon la revendication 39 ou la revendication 40, dans 
lequel rinterface Homme / machine permet d'afRcher te systdme modelise 
selon un modele composants / relations. 
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